как настроить vpn cisco

Вопрос/ответ

  • Вопрос

    Здравствуйте. Сразу скажу, что вопрос у меня комплексный, и я осознаю, что хочу от вас слишком многого, так что если проигнорируете, я пойму. Я устроился на работу системным администратором в крупную корпорацию с многими филиалами и сложной сетью на базе VPN-соединений. Сейчас открывается еще один филиал и нужно присоединять его к сети по тем же правилам. Здесь используется оборудование Cisco, и, понятное дело, управляется с помощью Cisco VPN Client. Помоги пожалуйста. Как настроить vpn cisco с помощью стандартных средств? Мне поможет любая инфа. Спасибо всем неравнодушным.

    Циско, 28 Октября 2011 10:38

    Ответ

    Да, тема действительно довольно емкая. Но, тем не менее, попробую вам помочь. Начнем с самого начала.

    Cisco VPN Client – специальное программное обеспечение, которое устанавливается на персональный компьютер и предназначается для создания IPSec-туннелей с любыми серверами Cisco Easy VPN.

    VPN-клиент от Cisco поддерживает двухфакторную авторизацию пользователей при помощи USB-токенов или смарт-карт.

     

    Основные возможности и функциональные характеристики Cisco VPN Client:

    - поддержка всех операционных систем Windows, Linux, MacOS, Solaris;
    - поддержка протоколов IPSec ESP, L2TP, L2TP/IPSec, PPTP, NAT Traversal IPSec, IPSec/UDP , IPSec/TCP;
    - поддержка токенов Aladdin, Schlumberger, ActiveCard, Datakey, Gemplus, и прочих через MS CAPI;
    - поддержка авторизации XAUTH, RADIUS, LDAP;
    - отсутствие конфликтов с Microsoft L2TP/IPSec;
    - поддержка SCEP;
    - сжатие передаваемых данных;
    - поддержка IKE;
    - сжатие данных при передаче;
    - обновление в автоматическом режиме;
    - программный интерфейс API;
    - интеграция с Cisco Security Agent, ZoneAlarm, Sygate.
    - централизованное управление при помощи политик;

     

    Сisco VPN Client
    Цель Сisco VPN Client в обеспечении одинакового уровня безопасности и производительности при работе с приложениями критической важности для всего персонала, независимо от их текущего местонахождения. Прежде всего это требует обеспечить защиту данных, которые передаются по открытым каналам (тот же интернет, к примеру). Конфиденциальность и целостность данных – обязательный элемент современных коммерческих приложений. Это требование соблюдается за счет стратегии корпорации, которая, используя механизмы шифровки и авторизации, одинаково качественно защищает данные, передающиеся по любым каналам.

     

    Первая фаза на примере IPSec Easy VPN
    Прежде чем получить возможность передавать зашифрованную информацию в удаленную сеть, пользователь должен провести процесс подключения. При это необходимо пройти процедуру аутентификации. На данный момент наиболее безопасным способом авторизации является использование цифрового сертификата. Такой способ не подвержен атакам типа «man in the middle». Но для успешного использования цифровых сертификатов, в сети должен быть доступен сервер цифровых сертификатов.

     

    Сервер сертификатов Cisco IOS
    Cisco IOS Certificate Server интегрирован в ПО Cisco IOS и дает роутеру возможность действовать в сети как центр сертификации (выдавать и отзывать цифровые сертификаты). Генерирование и управление криптографической информацией — не самая простая задача. Сервер сертификатов решает эти проблемы с помощью масштабируемого центра сертификации, который встроен аппаратную часть поддержки IPSec VPN. ПО Cisco IOS также полностью поддерживает интегрированные функции PKI, работающие с сервером сертификатов и с «чужими» центрами сертификатов.

     

    Настройка сервера цифровых сертификатов на роутере
    Встроенный сервер сертификатов имеет широкие возможности по настройке. Рассмотрим минимально необходимое число команд для создания нормальной конфигурации.

    !задать имя сервера цифровых сертификатов

    crypto pki server certsrv

    database level names

    issuer-name CN=certsrv, OU=client-group-1, O=Cisco Systems

    grant auto

    !настройку параметров можно осуществлять только в выключенном состоянии, а позже сервер нужно перевести в рабочий режим no shutdown

    Будут сгенерированы ключи для корневого сертификата сервера. С помощью ее частного ключа далее будут подписываться все выдаваемые сертификаты.

    Команда grant auto позволяет выдавать сертификаты автоматически на запросы пользователей, что сильно упрощает процедуру выдачи сертификатов очень многим клиентам. В случае защищенности канала между клиентом и сервером, сохраняется необходимый уровень безопасности. К примеру, выдачу сертификатов в онлайн-режиме можно разрешить лишь пользователям внутри сети.

     

    Технология настройки Cisco VPN client
    Cisco Easy VPN упрощает управление сетями VPN, связывающих узлы сети между собой, благодаря активному продвижению новых политик безопасности из главного узла в сети на отдельные площадки. Для обеспечения простоты конфигурации и масштабируемости в Easy VPN применяется «проталкивание политики» (policy-push), но сохраняется гибкий спектр настроек и контроль над соблюдением политик.

    Сервер Easy VPN, сконфигурированный в главном офисе, передает политики безопасности на отдельные устройства VPN, обеспечивает реализацию действующих политик еще перед установкой соединения.

     

    Настройка Cisco VPN Client
    Для настройки VPN-клиента нужно только создать соединение, указать IP-адрес сервера. Следует использовать IP-адрес интерфейса маршрутизатора, подключенного к интернету. На него был назначен crypto map во время настройки Easy VPN-сервера.

    Для получения цифрового сертификата нужно выбрать в меню VPN-клиента Certificates -> Enroll. Для выдачи должна присутствовать IP-достижимость между ПК и интерфейсом локальной сети роутера.

    Обязательно нужно указывать домен, даже если он на маршрутизаторе не настроен, иначе получить сертификат будет невозможно!

    При выдаче сертификата пользователю в VPN-клиенте будет предоставлен корневой сертификат CA, который содержит публичный ключ сервера. При его помощи будет проводиться проверка подлинности сертификата Easy VPN-сервера. Так становится возможным защита от атаки типа MITM.

    Если обеспечить доступ клиента к серверу сертификатов по IP невозможно, выписку сертификатов можно проделать в ручном режиме. Сгенерированный запрос на получение сертификата в виде двоичной последовательности вводят в командную строку сервера. Выданный сертификат импортируется в том же виде в Cisco VPN Client.

Написать комментарий

Имя (*):


Эл. почта (*):


Сообщение (*):


Введите код с картинки (*):




Поля отмеченные (*) обязательны к заполнению.
Мы не публикуем эл. адреса на сайте.